中石油客戶終端安全與行為審計解決方案培訓

1、中石油客戶終端安全與行為審計解決方案H3C 技術有限公司安全產(chǎn)品行銷部2006 年 07 月 28 日中石油安全解決方案4 TOC o 1-5 h z HYPERLINK l bookmark2 o Current Document 中石油進行安全終端防護刻不容緩 4 HYPERLINK l bookmark4 o Current Document .1.薩班斯法案與上市企業(yè)需求概述 4 HYPERLINK l bookmark6 o Current Document 中石油終端安全現(xiàn)狀 5 HYPERLINK l bookmark8 o Current Document 終端接入安全體系”解

2、決方案的組成部分 6CAMS 安全策略服務器 7 HYPERLINK l bookmark12 o Current Document 修復服務器（ 與防病毒系統(tǒng)聯(lián)動 ） 8安全聯(lián)動設備 8安全客戶端 8 HYPERLINK l bookmark18 o Current Document 終端接入安全體系”與微軟SMS 聯(lián)動方案 9 HYPERLINK l bookmark20 o Current Document 應用模型 11 HYPERLINK l bookmark22 o Current Document 安全準入應用模型 11安全準入工作流程 12 HYPERLINK l bookma

3、rk26 o Current Document 功能特點 14安全狀態(tài)評估 14 HYPERLINK l bookmark30 o Current Document 用戶權限管理 15 HYPERLINK l bookmark32 o Current Document 用戶行為監(jiān)控 15終端接入安全體系”解決方案的部署 16接入層準入控制 16匯聚層準入控制 18Portal （Web ）認證準入控制 20終端接入安全體系”應用模式 22XLOG 日常行為審計 23XLOG 技術特點 23全面的日志收集 23強大的日志審計功能 23組網(wǎng)應用 25終端安全防護與行為監(jiān)控總結 26全面的應用體系防

4、護IPS 281252中石油網(wǎng)絡應用防護體系概述 281253IPS 產(chǎn)品部署方案 281254IPS 產(chǎn)品技術特色 29虛擬軟件補丁 29威脅抑制引擎（ TSE ） 30233. 無處不在的安全保護 31三、防火墻部署需求分析 33防火墻部署解決方案 33數(shù)據(jù)中心防火墻部署 34In ter net 邊界安全防護 36大型網(wǎng)絡內(nèi)部隔離 39防火墻部署方案特點 42一細致入微的個人終端防護1.1.中石油進行安全終端防護刻不容緩基于薩班斯法案的嚴格限制，以及結合中石油的獨特特點，我們認為在中石油內(nèi)部實施內(nèi)部控制體系，刻不容緩。中國石化從2002年下半年開始調(diào)研、準備工作，編制內(nèi)控制度，建立統(tǒng)一的

5、內(nèi) 控體系。2004 年10月，中國石化內(nèi)部控制手冊由公司董事會正式審議通過，2005年1月開始在股份公司全面實施。該手冊依照薩班斯法案所推薦和要求對照的美國COSO （反虛假財務報告委員會的贊助組織委員會）報告的理論體系建立內(nèi)部控制體系，內(nèi)容涉及共13大類業(yè)務、43個流程、862個控制點。總部專門召開電 視電話會議推行該手冊，要求各企業(yè)根據(jù)實際情況制定實施細則， 在組織多層次培 訓的同時，派出檢查小組，對 65家企業(yè)內(nèi)控制度的執(zhí)行情況進行全面檢查。針 對 薩班斯法案不斷細化的規(guī)則和新出臺的指弓I、準則，中國石化對內(nèi)部控制手冊進行更新，修訂了 2006年版的內(nèi)部控制手冊，經(jīng)董事會審議通過，于2

6、006年1月1日起正式下發(fā)執(zhí)行。1? 1? 1?薩班斯法案與上市企業(yè)需求概述中石油跨全球企業(yè)薩班斯法案在美國的中國上市公司開始生效各國相關法規(guī)都將越來越嚴格，加強公司治理尤其是IT治理將是企業(yè)的根本之道。加強企業(yè)內(nèi)部控制和風險管理將是全球的趨勢目前大M的網(wǎng)絡應用已經(jīng)貫穿中石油的日常業(yè)務模型，對于網(wǎng)絡應用我們把它理解為一個請求、連接到交互的過程，然后到完，這是會話的過程，這是雙向的。所謂會話行為就是做的一種操作類型，比方說訪問網(wǎng)頁，首發(fā)郵件、傳送郵件、即時通訊和文件傳輸?shù)龋@屬于網(wǎng)絡行為，會話內(nèi)容就是網(wǎng)頁的內(nèi)容、由M牛的內(nèi)容、 文件的內(nèi)容，即時通訊的內(nèi)容。對于安全審計類要求是會話行為審計，對于網(wǎng)

7、絡行為的審計實際上也是薩班斯法案的一部分，為了避免因為信息而造成的經(jīng)濟損失，日常行為審計成為了企業(yè)尤其是上市公司信息化建設的重要組成部分對法規(guī)不熟悉、時間短促、內(nèi)控基礎薄弱是中國上市公司面臨的最大問題。中 石油也不例外，直到 2005 年年初，中石油才開始著手布置薩班斯法案項目。但是 在實施過程中，大量的問題和矛盾暴露出來，涉及制度完善、流程改造、企業(yè)文化 等各方面。短時間內(nèi)完全建立完善的內(nèi)控環(huán)境是不可能的。但從根本上來說，公司 治理和 IT 治理的問題遲早需要去面對和解決。1 ? 1? 2? 中石油終端安全現(xiàn)狀終端安全是個入手簡單，想做好卻很難的工程，這也是這么多年中石油沒有著 手建設這方面

8、的一個重要原因。本次安全體系建設中石油考慮的很周全，除了我們 經(jīng)常能夠想到的安全管理制度以外、終端的認證問題、終端的安全監(jiān)控、日后審計等均在考慮范圍內(nèi)。中石油終端安全管理問題比較復雜，除了前面提到的地域分散意外，還有技術水平不高，難于監(jiān)管等問題，這些都構成了終端安全難以實現(xiàn)的重要因素，基于上 述原因，本次安全方案設計主要著中的是通過安全產(chǎn)品的監(jiān)控實現(xiàn)對員工日常行為 的監(jiān)控，并通過技術手段實現(xiàn)對安全管理制度的補充，以及強化，通過技術手段保 障安全管理制度的執(zhí)行。在終端防護方面我司有專門的安全解決方案“端點準入防御”能夠提供一個全程的安全解決方案。終端接入安全體系”端點準入防御方案包括兩個重要功能

9、：安全防護和安全監(jiān)控。安全防護主要是對終端接入網(wǎng)絡進行認證，保證只有安全的終端才能接入網(wǎng)絡, 對達不到安全要求的終端可以進行修復，保障終端和網(wǎng)絡的安全；安全監(jiān)控是指在 上網(wǎng)過程中，系統(tǒng)實時監(jiān)控用戶終端的安全狀態(tài)，并針對用戶終端的安全事件采取 相應的應對措施，實時保障網(wǎng)絡安全。12 終端接入安全體系”解決方案的組成部分終端接入安全體系”解決方案的實現(xiàn)思路，是通過將網(wǎng)絡接入控制和用戶終端 安全策略控制相結合，以用戶終端對企業(yè)安全策略的符合度為條件，控制用戶訪問 網(wǎng)絡的接入權限，從而降低病毒、非法訪問等安全威脅對企業(yè)網(wǎng)絡帶來的危害。為 達到以上目的，提出了包括檢查 一一隔離一一修復一一監(jiān)控的整體解決

10、思路。檢查：檢查網(wǎng)絡接入用戶的身份；檢查網(wǎng)絡接入用戶的訪問權限；檢查網(wǎng)絡接入用戶終端的安全狀態(tài)；隔離:隔離非法用尸終端和越權訪問;隔離存在重大安全問題或安全隱患的用尸終端修復：幫助存在安全問題或安全隱患的用尸終端進行安全修復，以便能夠正常使用網(wǎng)絡;監(jiān)控：實時監(jiān)控在線用尸的終端安全狀態(tài)，及時獲取終端安全信息對非法用尸、越權訪問和存在安全問題的網(wǎng)絡終端進行定位統(tǒng)計，為網(wǎng)絡安全管理提供依據(jù)；通過制定新的安全策略，持續(xù)保障網(wǎng)絡的安全。為了有效實現(xiàn)用尸終端安全準入控制，需要實現(xiàn)終端安全信息采集點、終端安全信息決策點和終端安全信息執(zhí)行點的分離，同時還需要提供有效的技術手段，對用尸終端存在的安全問題進行修復

11、，使之符合企業(yè)終端安全策略，順利接入網(wǎng)絡進行工作?！苯K端接入安全體系”解決方案的組成部分見下圖：病毒、補于服務器J月艮務器區(qū)1? 2? 1? CAMS安全策略服務器終端接入安全體系”方案的核心是整合與聯(lián)動，而 CAM安全策略服務器是終端接入安全 體系”方案中的管 理與控制中心，兼具用戶管理、安全策略管理、安全狀態(tài)評估、安全聯(lián)動控制以及安全事件審計等功能。戶終端安全狀態(tài)安全策略管理。安全策略服務器定義了對用戶終端進行準入控制的一系列策略，包括用評估配置、補丁檢查項配置、安全策略配置、終端修復配置以及對終端用戶的隔離方式配置等。用戶管理。企業(yè)網(wǎng)中，不同的用戶、不同類型的接入終端可能要求不同級別的安

12、全檢查 和控制。安全策略服務器可以為不同用戶提供基于身份的個性化安全配置和網(wǎng)絡服務等級，方便管理員對網(wǎng)絡用戶制定差異化的安全策略。安全聯(lián)動控制。安全策略服務器負責評估安全客戶端上報的安全狀態(tài)，控制安全聯(lián)動設備對用戶的隔離與開放，下發(fā)用戶終端的修復方式與安全策略。通過安全策略服務器的 控制，安全客戶端、安全聯(lián)動設備與修復服務器才可以協(xié)同工作，配合完成端到端的安 全準入控制。日志審計。安全策略服務器收集由安全客戶端上報的安全事件，并形成安全日志，可以 為管理員追蹤和監(jiān)控網(wǎng)絡的整個網(wǎng)絡的安全狀態(tài)提供依據(jù)。1.2.2 ?修復服務器（ 與防病毒系統(tǒng)聯(lián)動 ）在”終端接入安全體系”方案中，修復服務器可以是第

13、三方廠商提供的防病毒服務器、補丁服務器或用戶自行架設的文件服務器。此類服務器通常放置于網(wǎng)絡隔離 區(qū)中，用于終端進行自我修復操作。網(wǎng)絡版的防病毒服務器提供病毒庫升級服務， 允許防病毒客戶端進行在線升級；補丁服務器則提供系統(tǒng)補丁升級服務，在用戶終端的系統(tǒng)補丁不能滿足安全要求時，用戶終端可連接至補丁服務器進行補丁下載和 升級。目前的”終端接入安全體系”解決方案中，我們的認證體系可以和瑞星、金山、 江民、 Symantec等國內(nèi)外大型防病毒廠商產(chǎn)品實現(xiàn)聯(lián)動，同時由于開發(fā)式的系統(tǒng)設計，我們可以很方便的整合其他的防病毒產(chǎn)品實現(xiàn)全網(wǎng)認證與防病毒體系的完美結合。1 ? 2? 3? 安全聯(lián)動設備安全聯(lián)動設備是企

14、業(yè)網(wǎng)絡中安全策略的實施點， 起到強制用戶準入認證、 隔離 不合格終端、 為合法用尸提供網(wǎng)絡服務的作用。根據(jù)應用場合的不同，安全聯(lián)動設備可以是交換機或BAS設備，分別實現(xiàn)不同認證方式（如 802.1X 或 Portal ）的端 點準入控制。不論是哪種接入設備或 采用哪種認證方式，安全聯(lián)動設備均具有以下 功能：強制網(wǎng)絡接入終端進行身份認證和安全狀態(tài)評估。隔離不符合安全策略的用戶終端。聯(lián)動設備接收到安全策略服務器下發(fā)的隔 離指令后， 目前可以通過動態(tài)ACL方式限制用尸的訪問權限；同樣，收到解 除用尸隔離的指令后 也可以在線解除對用戶終端的隔離。提供基于身份的網(wǎng)絡服務。安全聯(lián)動設備可以根據(jù)安全策略服務

15、器下發(fā)的策 略，為用片提供個性化的網(wǎng)絡服務，如提供不同的QoS ACL VLANH?。1 ? 2? 4? 安全客戶端H3c客尸端是安裝在用尸終端系統(tǒng)上的軟件，是對用尸終端進行身份認證、安全狀態(tài)評估以及安全策略實施的主體，其主要功能包括：提供 802.1X、 Portal 等多種認證方式，可以與S3000、 S3500、 S5000、 S3900、S5600等系列交換機、華為 MA5200曲設備配合實現(xiàn)接入層、匯聚層的端點 準入控制。檢查用戶終端的安全狀態(tài)，包括操作系統(tǒng)版本、系統(tǒng)補丁、共享目錄、已安 裝的軟件、已啟動的服務等用戶終端信息；同時提供與防病毒客戶端聯(lián)動的 接口，實現(xiàn)與第三方防病毒軟件

16、產(chǎn)品客戶端的聯(lián)動，檢查用戶終端的防病毒軟件版本、病毒庫版本、以及病毒查殺信息。這些信息將被傳遞到CAMSc全策略服務器，執(zhí)行端點準入的判斷與控制。安全策略實施，接收安全策略服務器下發(fā)的安全策略并強制用戶終端執(zhí)行， 包括設置安全策略（是否監(jiān)控郵件、注冊表）、系統(tǒng)修復通知與實施（自動 或手工升級補丁和病毒庫）等功能。不按要求實施安全策略的用戶終端將被 限制在隔離區(qū)。實時監(jiān)控系統(tǒng)安全狀態(tài)，包括是否更改安全設置、是否發(fā)現(xiàn)新病毒等，并將 安全事件定時上報到安全策略服務器，用于事后進行安全審計。1 ? 2? 5? 終端接入安全體系”與微軟SMS 聯(lián)動方案125.1.特性簡介端點準入防御（”終端接入安全體系

17、”解決方案從網(wǎng)絡用戶終端準入控制入手， 整合網(wǎng)絡接入控制與終端安全產(chǎn)品，通過安全客戶端、安全策略服務器、網(wǎng)絡設備 以及第三方軟件的聯(lián)動，可以對接入網(wǎng)絡的用戶終端強制實施企業(yè)安全策略，嚴格 控制終端用戶的網(wǎng)絡使用行為，加強網(wǎng)絡用戶終端的主動防御能力，保護網(wǎng)絡安全。企業(yè)網(wǎng)中，對系統(tǒng)補丁的管理問題一直難以解決。我們經(jīng)常見到的情況是，新 的補丁發(fā)布，卻無人理會，任由系統(tǒng)漏洞的存在。即使采用了微軟的WSU、S SMS來諸多隱患；等補丁管理工具，此類工具也無法強制用戶進行系統(tǒng)補丁升級，給企業(yè)網(wǎng)絡安全帶更嚴重的情況是，用片剛裝好操作系統(tǒng)，還沒來得及打補丁就被病毒感染或受到攻擊。如果能將微軟的補丁管理系統(tǒng)與的

18、”終端接入安全體系”端點準入防御方案集成，就可以徹底解決系統(tǒng)補丁管理的問題。這個集成方案就被稱為補丁聯(lián)動方案，該方案需要”終端接入安全體系”與軟件補丁更新服務器協(xié)同工作：軟件補丁更新服務器負責對端點用片的計算機進行補丁狀態(tài)檢查、判斷是否合格以及不合格時自動更新所缺少的補丁，”終端接入安全體系”則負責決定何時發(fā)起補丁狀態(tài)檢查操作，并負責控制補丁狀態(tài)檢查不合格的端點用片只能訪問隔離區(qū)內(nèi)的資源，待端點用片的計算機的補丁狀態(tài)檢查合格后才解除對該用尸計算機的隔離。注1:隔離區(qū)是指端點用片在通過安全認證之前允許訪問的一組主機的集合。一般地，隔離區(qū)可能包含防病毒軟件安裝升級服務器（防病毒管理中心）、軟件補丁

19、更新服務器和終端接入安全體系”管理代理服務器。隔離區(qū)具體包含哪些主機一 般在接入設備上配置。注2:補丁狀態(tài)檢查是指對接入用片/端點用片的計算機進行軟件補丁是否符合 安全要求的 檢查，檢查不合格時列舉出所有缺少的軟件補丁。注3:補丁更新是指從補丁服務器下載軟件補丁到客尸機，并進行安裝與生效處理的全過程。系統(tǒng)架構與基本交互流程系統(tǒng)架構終端接入安全體系”是一個融合網(wǎng)絡設備、用尸終端和第三方安全產(chǎn)品的客片端準入安全框架，與補丁管理服務器的聯(lián)動主要通過”終端接入安全體系”客尸端與補丁升級客六端之間的API接口實現(xiàn)，具部署圖如下：系統(tǒng)結構圖WLS/SMS:補丁艇另在接入用尸的終端需要同時安裝”終端接入安全

20、體系”客尸端和補丁客尸端客戶端終端接入安全體系”客戶端負責完成與”終端接入安全體系”策略服務器的交互；補丁是微軟發(fā)布的與相應的補丁服務器配合的SUS（ WSUS或SM溶尸端?！苯K端接入安全體系”客戶端與補丁客戶端通過微軟提供的 API 接口完成補丁檢查與 安全準入的融合。這種方式下，”終端接入安全體系”系統(tǒng)與微軟補丁系統(tǒng)是相互獨立的，可以不 依賴于對方而完成自有功能。但可以通過API 來實現(xiàn)兩個系統(tǒng)之間的聯(lián)動，彌補各 自的不足，完善補丁管理和安全準入方案。1254特性的優(yōu)點聯(lián)動的松散耦合性：充分利用微軟成熟的補丁管理工具， ”終端接入安全體系”不需要管理各種Windows 環(huán)境的用戶機器缺少哪

21、些補丁等繁瑣事務；補丁更新的安全性：用戶機器的補丁狀態(tài)不符合安全要求時， 其訪問范 圍控制在隔離區(qū)，即補丁更新是在隔離區(qū)進行的；補丁更新的自動性：補丁更新過程是自動完成的（機器需要重啟時會提示用戶確認），無需用戶手工下載和安裝補丁程序；補丁更新的即時性：用戶機器的補丁狀態(tài)檢查不合格后馬上轉入補丁自動更新過程；補丁更新的強制性：不完成補丁更新的用戶機器只能訪問隔離區(qū)內(nèi)的網(wǎng)絡資 源，要訪問更多資源，只有完成補丁更新。1.3. 應用模型1 ? 3? 1? 安全準入應用模型終端接入安全體系”解決方案安全準入主要是通過身份認證和安全策略檢查的 方式，對未進行安全修復，以達到通過身份認證或不符合安全策略的

22、用戶終端進行網(wǎng)絡隔離，并幫助終端防范不安全網(wǎng)絡用戶終端給安全網(wǎng)絡帶來安全威脅的目的。你安全嗎？非袪用戶拒絕入網(wǎng)#liS? 么？安全認證一/$企業(yè)網(wǎng)“）眄離區(qū)11一的做什么？1? 3? 2?安全準入工作流程你可以做什身份驗證：用戶終端接入網(wǎng)絡時，首先進行用戶身份認證，非法用戶將被拒絕接入網(wǎng)絡。身份認證動態(tài)授權目前”終端墉篇余體系解決方等衷情p802.1x和Por翱/證。安全檢查：身份認證通過后進行終端安全檢查,由CAMSe全策略服務器驗證用戶終端的安不同用戶享做不同的網(wǎng)二不合格全狀態(tài)（包括補丁版本、病毒庫版本、軟件安裝等）是圜畬檎區(qū)安全隔離：不合格的終端將被安全聯(lián)動設備通過口目,谿使用楓限;強制

23、劑取CL策略限制在隔離區(qū)進行安全修復安全修復：進入隔離區(qū)的用戶可以進行補丁、病毒庫的升級、卸載非法軟件和停止非法服務等操作，直到安全狀態(tài)合格。動態(tài)授權：如果用戶身份驗證、安全檢查都通過，則CAM安全策略服務器將預先配置的該用戶的權限信息（包括網(wǎng)絡訪問權限、用戶帶寬限制參數(shù)、用戶優(yōu)先級等QOSI數(shù)、用戶組播權限等等）下發(fā)給安全聯(lián)動設備，由安全聯(lián)動設備實現(xiàn)按用戶身份的權限控制。實時監(jiān)控：在用戶網(wǎng)絡使用過程中，安全客戶端根據(jù)安全策略服務器下發(fā)的監(jiān)控策略,時監(jiān)控用戶終端的安全狀態(tài)，一旦發(fā)現(xiàn)用戶終端安全狀態(tài)不符合企業(yè)安全策略,則向CAMS安全策略服務器上報安全事件，由CAMSe全策略服務器按照預定義的安

24、全策略,采取相應的控制措施，比如通知安全聯(lián)動設備隔離用戶用戶終端安全聯(lián)動設備安全策略服務器身份認證請求發(fā)起身份認證Radius/身份信息Radius/身份認證成功，下發(fā)隔離ACL安全認證請求安全狀態(tài)檢查安全狀態(tài)信息（防病毒版本、系統(tǒng)補丁等信息）安全狀態(tài)不合格（缺少補丁等）根據(jù)安全認證結果，修復系統(tǒng)漏洞r安全狀態(tài)檢查 安全狀態(tài)信息（防病毒版本、系統(tǒng)補丁等信息）安全認證成功，下發(fā)監(jiān)控策略Radius/安全認證成功，下發(fā)工作ACL檢查終端安全狀態(tài)安全狀態(tài)監(jiān)控安全狀態(tài)信息具體部署方式如下1、在區(qū)域二中部署中心認證服務器一臺，推薦中石油使用基于CA證書的認證系統(tǒng)，這樣在安全性會比簡單的用片名密碼要高；2

25、、在服務器與客尸端上均部署終端安全認證體系客六端，保證服務器系統(tǒng)能夠強制進行系統(tǒng)補丁和病毒庫的升級；終端客尸端進行強制病毒庫、系統(tǒng)補丁的升級,在用尸接入網(wǎng)絡的同時對其日常網(wǎng)絡使用行為進行監(jiān)控；3、在終端部署支持802.1X認證的交換設備與終端用尸認證體系進行聯(lián)動；4、在區(qū)域二部署日志服務器 XLOG一臺,進行日常用尸行為訪問的記錄 ；5、通過用戶終端行為記錄以及網(wǎng)絡行為監(jiān)控，記錄用戶日常網(wǎng)絡使用行為，并作為日后審計的依據(jù)。6 在中心認證服務器上部署安全策略，對違規(guī)行為進行定義，下發(fā)到客戶端， 提高客戶端對于重要安全策略的響應，最大限度的減少誤操作給中石油帶來 的經(jīng)濟、信息損失。14 功能特點終

26、端接入安全體系”解決方案已實現(xiàn)以下功能規(guī)格，在具體應用部署時，可根據(jù)用戶網(wǎng)絡的實際使用需求，確定”終端接入安全體系”的應用模式和部署方案。1? 4? 1 ? 安全狀態(tài)評估終端補丁檢測：評估客戶端的補丁安裝是否合格，可以檢測的補丁包括：操作系統(tǒng)（Win dows2000/XP 等，不包括Windows 98）等符合微軟補丁規(guī)范的熱補丁。安全客戶端版本檢測：可以檢測安全客戶端H3CClient 的版本，防止使用不具備安全檢測能 力的客戶端接入網(wǎng)絡。同時支持客戶端自動升級。安全狀態(tài)定時評估： 安全客戶端可以定時檢測用戶安全狀態(tài)， 防止用戶上網(wǎng)過程中因安全狀態(tài)發(fā)生變化而造成的與安全策略的不一致。自動補

27、丁管理：提供與微軟 WSUS/SMS全稱：Windows Server Update Services/SystemMa nageme nt Server ）協(xié)同的自動補丁管理，當用戶補丁不合格時，自動安裝補丁。終端運行狀態(tài)實時檢測：可以對上線用戶終端的系統(tǒng)信息進行實時檢測，包括已安裝程序列 表、已安裝補丁列表、已運行進程列表、共享目錄信息、分區(qū)表、屏保設置和已啟動服務列防病毒聯(lián)動：主要包含兩個方面，一是端點用戶接入網(wǎng)絡時，檢查其計算機上防病毒軟件的安裝運行情況以及病毒庫和掃描引擎版本是否符合安全要求等，不符合安全要求可以根據(jù)策略阻止用戶接入網(wǎng)絡或將其訪問限制在隔離區(qū)；二是端點用戶接入網(wǎng)絡后， ”終端接入安全體系”定期檢查